信息化觀察網(wǎng)

近段時間，網(wǎng)安信安全團隊就針對遠程安全運維和云計算創(chuàng)建現(xiàn)代SIEM安全策略進行了深入探討，發(fā)現(xiàn)當下不斷變化的安全格局對安全信息和事件管理（SIEM）具有很大實踐意義，將能積極推動SIEM繼續(xù)發(fā)展。

在過去16年的發(fā)展過程中，SIEM已完美結(jié)合了安全信息管理（SIM）和安全事件管理（SEM），并且在任何一個時間段內(nèi)，SIEM的發(fā)展都直接與當時的市場需求和威脅驅(qū)動緊密相關(guān)。

在早期，SIEM更多地受到當時處于主導(dǎo)地位的各種合規(guī)性政策或標準的影響，例如PCI或HIPAA。而近年來，SIEM已趨向于與各應(yīng)用平臺的融合，加速針對越來越復(fù)雜的勒索病毒和惡意軟件的威脅檢測。

隨著遠程工作，云計算和其他數(shù)字化技術(shù)的加速發(fā)展，SIEM越來越被人們所關(guān)注，因為幾乎所有企業(yè)都在尋找這種具有更強可擴展性和自動化性的安全運維與防護策略。

高超的可擴展性讓SIEM完美兼容任何模式

現(xiàn)代安全威脅的不斷演變讓快速響應(yīng)和自動化處理的安全需求越來越強烈，人工智能，機器學(xué)習(xí)，高級分析，自動檢測異常行為，快速的應(yīng)急響應(yīng)時間，實時且主動的阻止對企業(yè)的任何潛在攻擊和安全威脅。

除了使用AI和機器學(xué)習(xí)來獲得更好的關(guān)聯(lián)和警報之外，SIEM高超的可擴展性可以讓它與任何平臺兼容，從而具備更豐富的威脅檢測元素，實現(xiàn)對電子郵件，云資源，應(yīng)用程序，外部威脅情報源和端點的監(jiān)控，這可以對用戶的操作行為進行監(jiān)控分析（UEBA）等。除UEBA外，SIEM還可以與監(jiān)測響應(yīng)（XDR）和自動化響應(yīng)（SOAR）兼容，從而讓SIEM擁有更多的可見性和靈活性。

SIEM是現(xiàn)代企業(yè)安全運維最理想的選擇

SIEM的基本原理是使用分析引擎將安全事件與企業(yè)的安全策略進行有效匹配，通過對企業(yè)所有安全數(shù)據(jù)和事件建立索引進行亞秒級自動化檢索，與在全球范圍內(nèi)收集的威脅情報進行比對分析，從而快速檢測和分辨潛在的高級威脅。

當SIEM通過網(wǎng)絡(luò)安全監(jiān)控識別到威脅時，它將自動生成警報并根據(jù)預(yù)定的規(guī)則定義威脅級別。例如，如果某人試圖在10分鐘內(nèi)登錄10次，這可能被認為是正常的，但他如果嘗試在10分鐘內(nèi)登錄100次則有可能會被標記為惡意行為。

如今，企業(yè)的IT資產(chǎn)的架構(gòu)和形態(tài)可謂是越來越復(fù)雜，例如目前比較熱門的IPFS行業(yè)，資產(chǎn)數(shù)量龐大且分散，資產(chǎn)種類多樣，內(nèi)網(wǎng)和外網(wǎng)架構(gòu)并用，各種云服務(wù)器采用率也在不斷上升，企業(yè)運維人員普遍采用遠程工作等等，這使得SIEM的作用變得更加突出，因為它能幫助企業(yè)的運維人員實現(xiàn)集中式了解自身IT環(huán)境中的安全策略和信息。通過SIEM，企業(yè)的運維人員能輕松進行安全數(shù)據(jù)分析、安全事件關(guān)聯(lián)、聚合、報告和日志管理等。

警報疲勞對企業(yè)運維人員提出嚴重挑戰(zhàn)

盡管SIEM對企業(yè)安全運維具有諸多好處，但并不是所有企業(yè)都有能力部署、維護和管理SIEM，因為SIEM的特點就是持續(xù)高效的自動化處理，每天會自動收集企業(yè)整個IT環(huán)境中的所有安全事件和信息，不僅數(shù)據(jù)量龐大，安全告警也會比較頻繁。

根據(jù)2020年SecOps給出的自動化狀態(tài)調(diào)查報告顯示，目前雖然有92％的企業(yè)都希望通過自動化處理來解決日常的安全運維工作，但只有65％的企業(yè)使用了部分自動化的警報處理，其中有75％的企業(yè)還額外聘請了至少三名專門的安全分析師來處理當天產(chǎn)生所有警報。

這無疑給企業(yè)運維人員帶來了很多額外的工作和負擔(dān)，所以說，如果企業(yè)不能確保對所有操作行為和威脅情報進行有效分析，就不要輕易部署SIEM，否則，就會適得其反，很容出現(xiàn)警報疲勞，這將大大降低檢測漏洞和其他針對性攻擊的成功率。

一個有效的SIEM解決方案必將要求企業(yè)管理足夠多的數(shù)據(jù)源，也就是必須在所有IT資源中進行部署，由此產(chǎn)生的安全數(shù)據(jù)將是一個天文數(shù)字，為避免出現(xiàn)漏報情況，必須輔以人工分析才能最大化確保企業(yè)資產(chǎn)安全，但安全數(shù)據(jù)分析具有很高的專業(yè)要求，且這類人才嚴重缺乏，因此，企業(yè)可以選擇具有部署、運維和管理SIEM的第三方供應(yīng)商提供的解決方案，這樣，企業(yè)的運維人員就不會被迫成為SIEM專家。